DPA — Data Processing Agreement / Entente de sous-traitance

DPA en langage clair —
l'entente écrite que la Loi 25 exige avec chaque sous-traitant

L'article 18.3 de la Loi 25 oblige toute organisation québécoise à encadrer par écrit la communication de renseignements personnels à un mandataire ou prestataire de services. Ce guide explique ce qu'est un DPA, son contenu minimum, comment exploiter les DPA standards des grands fournisseurs et pourquoi tenir un registre des sous-traitants signés.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre le DPA — guide pratique pour les PME québécoises

Le DPA est l'un des outils les plus simples à mettre en place de la Loi 25 — la majorité des grands fournisseurs publient leur DPA standard, prêt à signer. Pourtant c'est l'un des plus souvent oubliés en PME, parce que le réflexe administratif n'est pas encore acquis.

Préalable conseillé : avant d'aborder cette page, parcourir la formation Gouvernance PRP qui couvre les rôles, les registres et la posture générale. La présente fiche entre dans le détail de la sous-traitance encadrée — un volet de gouvernance précis.

Qu'est-ce qu'un DPA et pourquoi il est central

Définition : Un DPA — Data Processing Agreement, ou en français « entente de sous-traitance des données » — est un contrat écrit entre une organisation responsable du traitement et un sous-traitant à qui elle confie le traitement de renseignements personnels. Il encadre les obligations du sous-traitant et formalise les responsabilités respectives. Au Québec, il est exigé par l'article 18.3 de la Loi 25.

L'idée derrière le DPA est simple : quand une organisation confie des renseignements personnels à un tiers (un fournisseur cloud, un service comptable externe, une firme de marketing, un hébergeur web), la responsabilité légale ne se transfère pas au sous-traitant. Le responsable du traitement reste imputable. Le DPA documente les règles du jeu et démontre que l'organisation a fait sa part avant de partager les données.

Pourquoi le DPA est important :

  • Cadre légal explicite — l'article 18.3 de la Loi 25 exige « une entente écrite » qui précise les mesures à prendre par le mandataire ou prestataire pour assurer la confidentialité des renseignements, faire en sorte qu'ils ne soient utilisés que pour la finalité prévue, ne pas en conserver après l'exécution du mandat et signaler tout incident.
  • Démonstration de diligence raisonnable — en cas de plainte ou d'incident, le DPA est l'une des premières pièces examinées. Sans DPA signé, l'organisation est exposée même si la fuite vient du sous-traitant.
  • Protection en cas de fuite chez un sous-traitant — si un fournisseur subit une attaque, le DPA est ce qui permet d'établir les responsabilités, déclencher les notifications obligatoires (72 h à la CAI au Québec) et coordonner la gestion d'incident.
  • Outil de pilotage de la sous-traitance — un DPA clair force l'organisation à savoir qui traite quels renseignements pourquoi. C'est aussi un point de départ pour le registre des traitements exigé par l'article 3.2 de la Loi 25.

À retenir

Confier des renseignements personnels à un sous-traitant sans DPA, c'est rester pleinement imputable de tous ses gestes sans avoir formalisé ses obligations. La signature du DPA est un geste asymétrique : elle protège l'organisation responsable du traitement.

Quand un DPA est obligatoire — repérer les sous-traitants

Critère : un DPA est exigé chaque fois qu'un tiers traite des renseignements personnels pour le compte de l'organisation. Le « traitement » s'entend largement : collecter, stocker, consulter, modifier, transmettre, archiver, supprimer. Si le tiers n'a aucun accès aux renseignements personnels, le DPA n'est pas requis.

Sous-traitants typiques d'une PME québécoise qui exigent un DPA :

  • Fournisseurs cloud et bureautique — Microsoft 365, Google Workspace, Dropbox, OneDrive, AWS, Azure, OVH
  • CRM et outils commerciaux — Salesforce, HubSpot, Zoho, Pipedrive, Monday
  • Marketing et communication — Mailchimp, Constant Contact, ActiveCampaign, ClickFunnels
  • Comptabilité et paie externalisées — QuickBooks Online, Xero, fournisseur de paie tiers, comptable externe avec accès aux dossiers clients
  • Paiement — Stripe, Square, PayPal, Moneris
  • Hébergement web et services techniques — Whc, Bluehost, Wix, Squarespace, Cloudflare
  • Outils d'IA traitant des données clients — ChatGPT entreprise, Microsoft Copilot, Claude, Gemini for Workspace
  • Centres d'appels et services à la clientèle externalisés
  • Sondages et collecte de données — SurveyMonkey, Typeform, Google Forms
  • Stockage et archivage physique — entreprise de gestion documentaire avec accès aux dossiers

Cas qui n'exigent pas de DPA :

  • Achat de logiciels en boîte ou licences sans accès aux données (ex. Adobe Photoshop installé localement)
  • Services purement matériels (location de salle, achat de matériel informatique sans configuration des données)
  • Traduction professionnelle de documents qui ne contiennent aucun renseignement personnel
  • Services techniques sans accès aux fichiers (ex. dépannage matériel sans manipulation des données)

La règle de réflexe : si le sous-traitant peut voir, manipuler ou stocker des renseignements personnels, un DPA est requis. Dans le doute, c'est le sous-traitant qu'on contacte pour demander son DPA — la plupart en ont un prêt à envoyer.

À retenir

Un inventaire des sous-traitants est le point de départ. Avant d'écrire des DPA, il faut savoir avec qui on en a besoin — c'est précisément ce que le registre des traitements exigé par l'article 3.2 de la Loi 25 documente.

Contenu minimum d'un DPA — ce que la loi exige

Cadre : l'article 18.3 de la Loi 25 énumère les éléments minimaux qu'une entente de sous-traitance doit contenir. L'article 28 du RGPD reprend les mêmes éléments avec un niveau de détail plus poussé. Un DPA aligné RGPD satisfait largement la Loi 25 — c'est pourquoi les DPA standards des grands fournisseurs sont souvent acceptables tels quels.

Les sept éléments à retrouver dans tout DPA :

  1. Description du traitement — objet (que fait le sous-traitant?), nature (quelle activité technique?), finalité (pourquoi?), durée du contrat, type et catégories de renseignements personnels, catégories de personnes concernées (clients, employés, partenaires).
  2. Obligations de confidentialité et de sécurité — mesures techniques (chiffrement, contrôles d'accès, journalisation) et organisationnelles (formation du personnel, politiques internes). Les annexes des DPA standards listent typiquement ces mesures de façon détaillée.
  3. Sous-traitance ultérieure (sub-processors) — encadrement des sous-sous-traitants. Le sous-traitant principal doit informer ou obtenir l'accord avant de confier le traitement à un autre tiers. Les listes de sous-processeurs publiées par les grands fournisseurs (Microsoft, Google, AWS) sont mises à jour régulièrement.
  4. Coopération avec le responsable du traitement — obligation d'aider face aux demandes d'accès, de rectification ou de suppression formulées par les personnes concernées, ainsi qu'à la gestion des incidents.
  5. Notification d'incident — délai dans lequel le sous-traitant doit informer l'organisation responsable en cas de fuite ou d'incident de confidentialité. Pour respecter le délai de 72 h envers la CAI, ce délai contractuel doit être plus court que 72 h (idéalement 24 à 48 h).
  6. Retour ou destruction des données en fin de contrat — obligation de restituer ou détruire les renseignements personnels à la fin de la prestation, avec attestation de destruction.
  7. Droit d'audit ou d'attestation — possibilité pour l'organisation responsable de vérifier la conformité du sous-traitant, soit par audit direct, soit par certification tierce (ISO 27001, SOC 2 Type II, etc.).

L'article 18.3 de la Loi 25 ajoute aussi un encadrement particulier pour les transferts hors Québec : si le sous-traitant est à l'étranger ou si les données sont hébergées hors Québec, l'organisation doit faire une évaluation des facteurs relatifs à la vie privée (EFVP) avant de communiquer les renseignements et démontrer une protection équivalente.

À retenir

Un DPA qui couvre les sept éléments — description, sécurité, sous-traitance ultérieure, coopération, notification, retour ou destruction, droit d'audit — répond à la fois à la Loi 25 et au RGPD. Si l'un des sept manque, demander un avenant ou changer de fournisseur.

Articulation Loi 25, RGPD et LPRPDE — pourquoi un DPA international est efficace

Convergence : les trois régimes convergent sur le DPA. Une organisation qui structure sa sous-traitance sur la base du RGPD couvre simultanément la Loi 25 et la LPRPDE. C'est pourquoi les DPA standards des fournisseurs internationaux sont alignés RGPD — ils servent de plus petit dénominateur commun pour tous leurs clients globaux.

Loi 25 (Québec) — article 18.3 :

  • Entente écrite encadrant la confidentialité, la finalité, la conservation et la signalisation des incidents.
  • Mention explicite de l'EFVP pour les transferts hors Québec.
  • Responsabilité maintenue chez le responsable du traitement.

RGPD (Europe) — article 28 :

  • Liste détaillée des obligations contractuelles du sous-traitant.
  • Encadrement précis de la sous-traitance ultérieure.
  • Clauses contractuelles types (CCT) de la Commission européenne pour les transferts hors UE.
  • Sanctions importantes en cas de non-conformité (jusqu'à 4 % du chiffre d'affaires mondial).

LPRPDE (fédéral Canada) — principe 1 (responsabilité) :

  • Pas d'article aussi explicite que la Loi 25 ou le RGPD, mais le principe de responsabilité maintenue impose un encadrement contractuel.
  • Lignes directrices du Commissariat fédéral qui exigent un degré comparable de protection contractuelle, surtout pour les transferts transfrontaliers.

Pour une PME québécoise qui fait affaire avec des fournisseurs internationaux, signer le DPA standard du fournisseur (typiquement aligné RGPD) couvre les trois régimes. Le seul ajout à vérifier pour la Loi 25 : la clause sur l'EFVP préalable au transfert hors Québec, qui peut être documentée séparément si elle ne figure pas explicitement dans le DPA standard.

À retenir

Le RGPD est le standard de fait pour les DPA internationaux. Une PME québécoise n'a pas besoin de réinventer la roue — signer les DPA RGPD des grands fournisseurs et compléter au besoin pour les exigences spécifiques de la Loi 25 (EFVP pour transferts) suffit.

Comment exploiter les DPA standards des grands fournisseurs

Posture pragmatique : les fournisseurs majeurs publient des DPA standards qui ne sont pas négociables individuellement pour les petits clients — mais qui sont déjà largement conformes. Le réflexe à acquérir n'est pas la rédaction sur mesure : c'est la collecte, la signature et la conservation systématiques.

Démarche standard pour un fournisseur connu :

  1. Localiser le DPA du fournisseur — la plupart le publient sur leur page « Trust Center », « Privacy » ou « Legal ». Exemples : Microsoft Online Services DPA, Google Cloud Data Processing Addendum, AWS Data Processing Addendum, Stripe Data Processing Agreement, Mailchimp Data Processing Addendum, OpenAI Data Processing Addendum.
  2. Signer le DPA — souvent, l'acceptation des conditions de service inclut le DPA. Pour certains fournisseurs, il faut explicitement demander la signature électronique du DPA via leur portail. Vérifier les annexes (sous-processeurs, mesures de sécurité, transferts).
  3. Vérifier les sous-processeurs — la liste publique des sub-processors est typiquement maintenue à jour par le fournisseur. La parcourir une fois pour identifier les transferts éventuels (ex. AWS pour le stockage, services régionaux).
  4. Conserver une copie signée — dans un dossier dédié, accessible au RPRP. La preuve de la signature et la version du DPA au moment de la signature comptent en cas de plainte.
  5. Tenir un registre des sous-traitants — un fichier simple (tableau ou base de données) qui liste : nom du sous-traitant, finalité, type de renseignements, date de signature du DPA, version du DPA, lien vers le document, date de prochaine vérification.

Pour les sous-traitants locaux ou plus petits (comptable, agence marketing locale, fournisseur québécois sans DPA standard) — un DPA personnalisé peut être négocié. Plusieurs modèles types sont disponibles auprès d'associations professionnelles ou peuvent être adaptés à partir des structures RGPD.

À retenir

Le réflexe à acquérir n'est pas « rédiger un DPA » — c'est « demander, signer, conserver ». La majorité des sous-traitants publient leur DPA. Le travail consiste à le récupérer, l'archiver dans un registre et savoir où le retrouver.

Erreurs fréquentes et pièges à éviter

Constat de terrain : les manquements observés en PME ne sont presque jamais des refus de signer un DPA — ce sont des oublis administratifs, des registres absents, ou des sous-traitants non identifiés comme tels. La conformité DPA repose sur l'organisation autant que sur la rédaction.
  • Sous-traitants non identifiés comme tels — le comptable externe, l'agence marketing, l'hébergeur web : tous traitent des renseignements personnels mais sont parfois traités comme de simples « fournisseurs » sans DPA. La règle : si l'entité accède à des renseignements personnels, c'est un sous-traitant au sens de la Loi 25.
  • Acceptation des CGU sans DPA explicite — accepter les conditions générales ne signifie pas avoir signé un DPA. Pour plusieurs fournisseurs, le DPA est un document distinct qu'il faut demander ou activer dans le portail administrateur.
  • DPA signé mais non conservé — sans copie accessible, l'organisation ne peut pas prouver son engagement. La copie doit être conservée, datée et reliée à la version du DPA en vigueur au moment de la signature.
  • Sous-traitance ultérieure ignorée — un sous-traitant peut lui-même utiliser des sous-processeurs (par exemple un CRM qui stocke les données sur AWS). Si le DPA n'encadre pas cette sous-traitance ultérieure, l'organisation responsable perd la traçabilité.
  • Pas de registre des DPA — sans liste centralisée, impossible de répondre à une demande d'accès ou à un audit. Le registre est aussi important que les DPA eux-mêmes.
  • Confusion entre DPA et contrat commercial — un contrat de service décrit ce que le fournisseur livre. Un DPA encadre comment il traite les renseignements personnels. Les deux sont nécessaires et complémentaires — l'un ne remplace pas l'autre.
  • Pas de revue périodique — les fournisseurs mettent à jour leurs DPA (changement de sous-processeurs, ajustements RGPD, nouvelles régions). Une revue annuelle des DPA actifs permet de détecter les changements significatifs.

L'erreur la plus coûteuse n'est pas un DPA mal rédigé — c'est un sous-traitant identifié trop tard, sans DPA signé, qui subit un incident. Dans ce cas, l'organisation est exposée doublement : pour la fuite elle-même et pour l'absence de cadre contractuel.

À retenir

Un DPA en règle n'est pas un document parfait — c'est un document signé, conservé, listé dans un registre et révisé périodiquement. La rigueur administrative compte autant que la qualité juridique.

En résumé

Le DPA — Data Processing Agreement — est l'entente écrite exigée par l'article 18.3 de la Loi 25 entre une organisation responsable du traitement et son sous-traitant. Il couvre sept éléments : description du traitement, sécurité, sous-traitance ultérieure, coopération, notification d'incident, retour ou destruction des données, droit d'audit. Aligné sur l'article 28 du RGPD, un DPA standard publié par un grand fournisseur (Microsoft, Google, AWS, Stripe) couvre largement la Loi 25 et la LPRPDE. Pour une PME québécoise, le réflexe à acquérir n'est pas la rédaction sur mesure mais la collecte, la signature et la conservation systématiques dans un registre des sous-traitants.

Réponse rapide

Quels sous-traitants exigent un DPA? Tout tiers qui traite des renseignements personnels pour le compte de l'organisation : fournisseurs cloud, CRM, marketing, paie, paiement, hébergement, IA, comptable externe avec accès aux dossiers. Les services purement matériels sans accès aux données n'en exigent pas.

Faut-il rédiger un DPA personnalisé? Pour les grands fournisseurs internationaux, leur DPA standard aligné RGPD couvre largement la Loi 25 — il suffit de le signer et de l'archiver. Pour les sous-traitants locaux sans DPA standard, négocier ou adapter un modèle.

Besoin de mettre en ordre vos DPA et votre registre des sous-traitants?

Pour les organisations qui veulent recenser leurs sous-traitants, récupérer les DPA manquants et structurer un registre conforme à la Loi 25, un accompagnement ponctuel permet de couvrir cette fondation rapidement. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →